Questa guida descrive come utilizzare l'API Cloud Asset Inventory Analyze Move per ottenere un report dettagliato su avvisi e blocchi da un elenco di sistemi di norme critiche prima di spostare effettivamente il progetto.
Abilita API
Seleziona o crea un progetto come progetto consumer API, abilita l'API Cloud Asset
Questo progetto consumer può essere diverso dal progetto che prevedi di analizzare e migrare. Il progetto consumer verrà utilizzato per generare le credenziali per effettuare richieste API.
La sezione successiva descrive i ruoli e le autorizzazioni richiesti che devono essere concessi nel progetto di origine che prevedi di analizzare.
Autorizzazioni obbligatorie
Per eseguire un'analisi dello spostamento del progetto, devi disporre di un ruolo che conceda l'autorizzazione
cloudasset.assets.analyzeMove, ad esempio Visualizzatore asset Cloud o
Visualizzatore.
Per ricevere l'analisi di un servizio, devi disporre anche di ruoli correlati a questi servizi. Queste autorizzazioni includono:
Se vuoi visualizzare i criteri di autorizzazione ereditati dalla risorsa organizzazione padre del progetto di origine, devi disporre dell'autorizzazione
resourcemanager.organizations.getIamPolicyper la risorsa organizzazione padre del progetto di origine.Se vuoi visualizzare le policy di autorizzazione ereditate dalla cartella principale del progetto di origine, devi disporre dell'autorizzazione
resourcemanager.folders.getIamPolicyper la cartella principale del progetto di origine.Se vuoi visualizzare le policy di autorizzazione nel progetto, devi disporre dell'autorizzazione
resourcemanager.projects.getIamPolicynel progetto di origine.Se vuoi visualizzare i criteri di negazione ereditati dalla risorsa organizzazione padre del progetto di origine, devi disporre dell'autorizzazione
iam.denypolicies.getper la risorsa organizzazione padre del progetto di origine.Se vuoi visualizzare i criteri dell'organizzazione ereditati in questo progetto, devi disporre dell'autorizzazione
orgpolicy.policy.getper il progetto di origine.Se vuoi visualizzare le policy firewall di Compute Engine ereditate in questo progetto, devi disporre dell'autorizzazione
compute.organizations.setSecurityPolicyper la cartella o la risorsa dell'organizzazione di origine.Se vuoi visualizzare i tag ereditati in questo progetto, devi disporre dell'autorizzazione
resourcemanager.hierarchyNodes.listEffectiveTagsnel progetto di origine o nei relativi nodi predecessori.
Eseguire l'analisi
Puoi utilizzare Google Cloud CLI o l'API per analizzare la migrazione di una risorsa dalla sua posizione attuale nella gerarchia delle risorse.
gcloud
Per analizzare gli effetti della migrazione di un progetto dalla sua posizione attuale nella gerarchia delle risorse, utilizza il comando gcloud asset analyze-move:
gcloud asset analyze-move --project=PROJECT_ID \
(--destination-folder=FOLDER_ID \
| --destination-organization=ORGANIZATION_ID)
Per analizzare l'impatto dello spostamento di un progetto in una cartella diversa, esegui il comando con --destination-folder:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-folder=FOLDER_ID
Per analizzare l'impatto dello spostamento di un progetto in un'altra organizzazione,
esegui il comando con --destination-organization:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-organization=ORGANIZATION_ID
Dove:
PROJECT_IDè l'ID progetto univoco del progetto che stai migrando. Ad esempio,--myProject123.FOLDER_IDè l'ID numerico della cartella di destinazione su cui eseguire l'analisi. Ad esempio,45678901123.ORGANIZATION_IDè l'ID numerico dell'organizzazione di destinazione su cui eseguire l'analisi. Ad esempio,78901123456.
API
Per analizzare gli effetti della migrazione di un progetto dalla sua posizione attuale nella gerarchia delle risorse senza eseguire lo spostamento, utilizza il metodo cloudasset.analyzeMove:
GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
analyzeMove?destinationParent=DESTINATION_NAME
Dove:
resourceè il nome della risorsa su cui eseguire l'analisi. Sono supportate solo le risorse di progetto, quindi deve essere l'ID progetto o un numero di progetto. Ad esempio,projects/my-project-idoprojects/12345.DESTINATION_NAMEè il nome della Google Cloud risorsa organizzazione o della cartella a cui assegnare nuovamente come risorsa principale la risorsa di destinazione. L'analisi verrà eseguita sugli impatti del trasferimento della risorsa all'elemento principale di destinazione specificato. La destinazione deve essere un numero di cartella o un numero di risorsa dell'organizzazione. Ad esempio,folders/123oorganizations/123.
Spostare le risposte dell'analisi
La risposta che ricevi dall'API Move Analysis è raggruppata per nome del servizio. Sotto ogni servizio è riportato un elenco di avvisi e blocchi applicabili a questa migrazione del progetto. Qualsiasi blocco restituito da questa analisi significa che la migrazione del progetto verrà bloccata in fase di runtime se procedi con lo spostamento prima di risolverli.
Risolvere gli errori
Se viene restituito un errore dall'API Move Analysis, questo include un codice gRPC standard, nonché un messaggio che descrive il motivo per cui l'API Move Analysis non è riuscita ad analizzare il progetto.
La seguente tabella descrive i codici di errore che potrebbero essere restituiti dall'API Move Analysis:
| Nome dell'errore | Codice di errore | Descrizione |
|---|---|---|
| Argomento non valido | 3 | Restituito se chiami l'API su un progetto con un argomento non valido, ad esempio un nome di risorsa errato. |
| Autorizzazione negata | 7 | Restituito se non disponi delle autorizzazioni necessarie per eseguire l'analisi o se il progetto di origine non esiste. |
| Interno | 13 | Restituito se si verifica un problema con una chiamata a un sistema di criteri come Identity and Access Management o criteri dell'organizzazione. Ciò non indica che la migrazione non sia possibile e puoi riprovare l'analisi dopo aver verificato se il servizio è in interruzione. |
| Non disponibile | 14 | Restituito se un sistema interno non è sincronizzato. Ciò non indica che la migrazione non sia possibile e puoi riprovare a eseguire l'analisi. |
| Non autenticato | 16 | Restituito se non hai fornito le credenziali corrette per eseguire questa analisi. |
Esempio di messaggio di errore
Il seguente esempio mostra il codice di errore restituito per un utente che non dispone dell'autorizzazione cloudasset.assets.analyzeMove sul progetto da migrare:
{
"error": {
"code": 403,
"message": "Failed to fetch Project: projects/test-project-service-3 to perform
move analysis.",
"status": "PERMISSION_DENIED"}
}
Alcuni sistemi di policy potrebbero non riuscire ad analizzare lo spostamento delle risorse. Il seguente
esempio mostra l'errore restituito dal servizio firewall gerarchico
quando l'utente non dispone dell'autorizzazione compute.organizations.setSecurityPolicy
per il progetto da migrare:
{
"moveAnalysis": [{
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "Hierarchical Firewall",
"error": {
"code": 7,
"message": "Failed to retrieve inherited security policies to perform
analysis. Required 'compute.organizations.setSecurityPolicy'
permission for {resource ID}"
}}]
}
Passaggi successivi
L'API Move Analysis fornisce dettagli che aiutano a mitigare i blocchi e altri problemi durante lo spostamento di un progetto da una risorsa organizzazione a un'altra. Per ulteriori informazioni sulla migrazione dei progetti tra risorse dell'organizzazione, consulta la sezione Migrazione dei progetti.